Qualche giorno fa il Garante europeo della protezione dei dati (GEPD) ha pubblicato un report su come le istituzioni, gli organi e le agenzie dell’UE (EUI) effettuano le valutazioni d’impatto sulla protezione dei dati (DPIA) per il trattamento di informazioni che presentano un rischio elevato per i diritti e la libertà delle persone fisiche.
Wojciech Wiewiórowski, GEPD dal 6 dicembre 2019, ha dichiarato: “Le valutazioni d’impatto sulla protezione dei dati sono uno dei nuovi e preziosi strumenti di responsabilità che le EUI usano quando trattano dati personali sensibili per misurare l’impatto e i rischi per le persone. Le DPIA aiutano anche a capire meglio come sta cambiando il trattamento dei dati nella pratica. Il nostro Report, insieme alle risposte ricevute dal nostro sondaggio, consentono al GEPD di fornire ulteriori orientamenti sulle DPIA conformemente all’articolo 39 del Regolamento applicabile alle istituzioni dell’UE”.
Nel febbraio 2020, il GEPD ha infatti condotto un’indagine per determinare in che modo le EUI utilizzano le DPIA dall’entrata in vigore del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE), sicché la relazione del GEPD contiene gli insegnamenti tratti e le migliori pratiche da parte delle EUI.
La natura delle operazioni di trattamento per le quali vengono svolte le DPIA varia ampiamente con i motivi principali per condurre una DPIA come il trattamento di dati sensibili o altamente personali, dati personali trattati su larga scala o l’uso innovativo o l’applicazione di nuove tecnologie.
Come noto, il GEPD è l’autorità di controllo indipendente con la responsabilità di monitorare il trattamento dei dati personali da parte di istituzioni e organi dell’UE, uffici e agenzie, fornire consulenza su politiche e legislazione che incidono sulla privacy e cooperare con autorità simili per garantire una protezione coerente dei dati. La sua missione è anche sensibilizzare sui rischi e proteggere i diritti e le libertà delle persone quando i loro dati personali vengono elaborati.
Ecco alcuni punti salienti del Rapporto.
Mentre la maggior parte delle EUI non ha finora finalizzato una DPIA ai sensi dell’articolo 39 del Regolamento, ci sono spunti di riflessione nelle 40 risposte ricevute su come hanno reagito le diverse EUI in situazioni comparabili. Un certo numero di EUI ha osservato che il loro primo DPIA era attualmente ancora in divenire (“diverse DPIA attualmente in esame”, “attualmente lavoriamo intensamente per finalizzare il primo DPIA da quando il regolamento è diventato applicabile “, “lavori in corso “).
Pochissime EUI (solo 4 su 39) hanno finora finalizzato più di due DPIA. È interessante notare che, mentre le EUI che conducono un numero maggiore di DPIA sono EUI relativamente grandi, non sono le più grandi.
Diverse EUI hanno affermato di aver condotto DPIA anche prima dell’entrata in vigore del Regolamento nel dicembre 2018.
Una EUI ha osservato che “tutte le nostre operazioni di trattamento che avrebbero richiesto una DPIA erano state autorizzate a norma dell’articolo 27 del regolamento (CE) n. 45/2001 (precedentemente in vigore) e attualmente nuove valutazioni in merito a tali operazioni non sono ritenute necessarie”. Secondo le linee-guida del GEPD, operazioni di trattamento che richiedono una DPIA e che sono state precedentemente verificate con un risultato positivo (con una procedura di follow-up chiusa, ove applicabile) beneficiano di un periodo di tolleranza di due anni, quindi nessuna DPIA è stata necessario immediatamente. Tuttavia, questo periodo di grazia terminerà alla fine del 2020.
La natura delle operazioni di elaborazione per le quali finora sono state condotte DPIA è molto eterogenea, con aspetti citati più volte che vanno dal reclutamento, CCTV, dati medici, team building / formazione, eventi e sondaggi a soluzioni cloud e altri problemi IT, compresi aspetti di sicurezza. Le principali aree di business coperte sono quindi legate alle risorse umane e all’IT, il che era un risultato atteso data la varia natura del core business delle EUI. Tuttavia, alcune delle DPIA più elaborate sono state condotte su attività di core business delle EUI.
Per ogni DPIA effettuata, le EUI sono state invitate a elencare i criteri (possibilmente multipli) che innescano una DPIA (sono possibili più aspetti):
In ordine di rilevanza, i criteri di attivazione più frequenti sono stati:
Questi criteri sono stati seguiti per rilevanza da:
Altri aspetti che sono stati presi in considerazione dalle EUI al momento di decidere di condurre una DPIA includono, ad esempio:
A seguito della richiesta di fornire il testo completo delle ultime due DPIA, il GEPD ha ricevuto un totale di 17 DPIA complete. Numerose EUI non hanno fornito il testo completo delle DPIA menzionate nel loro contributo, poiché queste DPIA non erano ancora state finalizzate (questo spiega la discrepanza tra DPIA condotte e DPIA fornite in full text).
Data la natura molto diversa delle operazioni di trattamento alla base di queste DPIA full-text e il loro numero limitato, in questa fase è difficile trarre conclusioni significative. Comunque, sono emersi i seguenti due aspetti:
Vi è una notevole varietà per quanto riguarda la lunghezza delle DPIA fornite, che varia da cinque a 55 pagine. La DPIA media è composta da poco più di 16 pagine. Data la varietà di argomenti e le diverse opzioni di formattazione utilizzate (qualsiasi cosa, dal testo completo alle tabelle Excel), questo è presumibilmente un indicatore debole. Tuttavia, data la necessità di un’analisi completa e di una valutazione dei diversi rischi per produrre una DPIA significativa, una soluzione di cinque pagine sembra comunque meno del necessario.
La formulazione dell’articolo 39 del Regolamento non lascia spazio a dubbi: l’attenzione si concentra su “un livello elevato di rischio per i diritti e le libertà delle persone fisiche”. Questo atteggiamento mentale verso il rischio è uno dei grandi cambiamenti rispetto alle vecchie regole: pensa sempre a come il trattamento potrebbe influire su coloro i cui dati vengono elaborati. Cosa fa loro? In che modo influisce su di loro?
Sia se le cose vanno secondo i piani sia quando le cose vanno male. La visuale è quella delle persone interessate dal trattamento dei dati, non ad esempio il danno reputazionale o fisico alla EUI. Il documento di orientamento del GEPD fornisce un elenco di controllo, che può essere uno strumento per considerare tutti gli aspetti e dimostrare di aver pensato alle implicazioni sulla protezione dei dati del trattamento.
La sicurezza dei dati è parte integrante di queste considerazioni. È necessario trattare i dati personali in modo da garantire “sicurezza adeguata”. Ciò che è “appropriato” dipende dai rischi del trattamento (vedi anche l’Articolo 26 del regolamento) ed include misure sia tecniche che organizzative. In molti casi, bisognerà far riferimento alla propria documentazione generale sulla gestione del rischio di sicurezza delle informazioni (ISRM). Per ulteriori indicazioni, si vedano le linee-guida del GEPD sulle misure di sicurezza per il trattamento di dati personali.
Tuttavia, dato che i rischi per “i diritti e le libertà delle persone fisiche” devono essere valutati, vale a dire dal punto di vista delle persone interessate dal trattamento dei dati, l’esame non dovrebbe fermarsi qui. Ad es., per quanto riguarda l’uso delle termo-camere e la funzionalità di localizzazione automatica delle telecamere con inclinazione panoramica, il GEPD ha precedentemente sottolineato che i rischi rilevanti per la protezione dei dati (compresi quelli di sicurezza IT) dovrebbero essere identificati e quantificati in modo esauriente.
In realtà, tutti i diritti e le libertà di questi soggetti potenzialmente in pericolo dovrebbero essere puntualmente elencati e le misure che attenuano i rischi dovrebbero essere basate su queste considerazioni.
Dal punto di vista generale, Il GEPD effettuerà indagini mirate come questa più frequentemente in futuro, in quanto rappresentano uno strumento importante per monitorare la conformità al regolamento (UE) 2018/1725, anche in considerazione della limitata capacità del Garante di controllare la situazione in un momento assolutamente “particolare”, quale quello che stiamo vivendo nel pieno della crisi COVID-19.
Articolo a cura di Sergio Guida
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…